Security Research
Vulnerabilità scoperte e gestite tramite Coordinated Vulnerability Disclosure con i vendor e con ACN / CSIRT Italia.
4
Advisory
3
CVE assegnati
2
Critical
2
High
ACME Corp — Enterprise Gateway v4.2
Una vulnerabilità di tipo Remote Code Execution (RCE) nel modulo di autenticazione di ACME Enterprise Gateway consente a un attaccante non autenticato di eseguire codice arbitrario sul server tramite una richiesta HTTP appositamente costruita.
DeltaERP Solutions — DeltaERP v10.3
Una vulnerabilità XXE (XML External Entity) nel modulo di importazione documenti di DeltaERP consente a un utente autenticato di leggere file arbitrari dal server e di effettuare richieste SSRF verso la rete interna.
BetaSoft S.r.l. — BetaCRM v7.1
Una SQL Injection nel modulo di ricerca avanzata di BetaCRM permette a un utente autenticato con privilegi minimi di estrarre l'intero database clienti, inclusi dati personali e credenziali hashate.
GammaIoT — Smart Hub Firmware v2.0.x
Un bypass di autenticazione nel firmware dello Smart Hub GammaIoT consente a un attaccante sulla rete locale di ottenere accesso amministrativo completo al dispositivo senza credenziali, tramite una richiesta API con header manipolato.
Nota: Tutte le vulnerabilità elencate sono state gestite tramite un processo di Coordinated Vulnerability Disclosure (CVD). I dettagli tecnici vengono pubblicati solo dopo che il vendor ha rilasciato una patch e gli utenti hanno avuto tempo ragionevole per aggiornare. Le vulnerabilità in fase di coordinamento mostrano informazioni limitate.